电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

栏目: 编程工具 · 发布时间: 5年前

内容简介:在2018年12月份,毒霸安全团队对外披露了主要进行“流量暗刷与劫持”攻击的僵尸网络”驱魔”家族(报告链接),该家族从2017年开始逐步走向活跃,通过频繁变换流氓宿主外壳进行传播,预估全网感染用户超过500万,成为近年国内活跃僵尸网络中的佼佼者,其云控功能日渐强大,仅当前活跃推送的功能插件就已超过70余款。从毒霸加入隐私窃取功能的新版”天猫淘宝暗刷”插件,运行流程如下:

一、概述

在2018年12月份,毒霸安全团队对外披露了主要进行“流量暗刷与劫持”攻击的僵尸网络”驱魔”家族(报告链接),该家族从2017年开始逐步走向活跃,通过频繁变换流氓宿主外壳进行传播,预估全网感染用户超过500万,成为近年国内活跃僵尸网络中的佼佼者,其云控功能日渐强大,仅当前活跃推送的功能插件就已超过70余款。

从毒霸 捕风”系统近期的监控数据看, 驱魔”家族被我们曝光披露以后,其幕后团队并没有停止传播和病毒功能的迭代,近期我们再次监控到其推送”电商暗刷模块”的更新变种。新版本除了原有的”淘宝天猫暗刷”,新加入了隐私窃取功能,能够实时监控收集用户电脑中的微信号、QQ号、浏览器历史记录以及当前操作窗口信息等个人隐私。虽然尚不知道这些隐私数据究竟将如何被黑产利用,但我们推测病毒作者收集浏览器记录与用户联系方式,极有可能用于对用户的习惯、网络行为的标签分析,进行定制广告推送和网络营销推广活动,甚至可能被打包出售给第三方黑产团伙,对特定的用户群体进行精准钓鱼诈骗攻击等。

加入隐私窃取功能的新版”天猫淘宝暗刷”插件,运行流程如下: 电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

二、溯源分析

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜 我们对上图中用于收集用户隐私的“ImgViewer.dll”进行分析时,意外发现其文件版本信息标注为 小翼看图主程序”,版权信息为 China Telecom(中国电信)” ,通过内部溯源系统搜索匹配,我们发现”中国电信”旗下多款软件和隐私收集模块 ImgViewer.dll”的代码相似度极高,数据上报的字段格式也完全一致,但通过病毒C&C服务器等其他方面的关联,暂未发现和中国电信存在直接关系,所以我们怀疑该病毒模块的作者通过某种渠道(比如”曾经就职”),掌握有中国电信旗下部分客户端/服务端源码,并加以改造用于制作窃取用户隐私的病毒,另外在该病毒模块的代码中,我们还发现”百度”旗下部分客户端的基础调试日志函数库代码痕迹,整个”驱魔”病毒家族疑点重重,其制作传播背景愈发扑朔迷离。

以下通过”中国电信”旗下的”桌面3D动态天气”和”百度”旗下的”百度杀毒”进行对比,相关文件信息如下: 电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

对比结论如下:

①   隐私收集模块“ImgViewer.dll”的数据上报代码逻辑和 电信 ”桌面3D动态天气”模块高度相似:

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

②   隐私收集模块“ImgViewer.dll”计算设备GUID的算法和电信“桌面3D动态天气”模块一致,并且保存路径均为“ \ProgramData\ChinaTelecom\Common\Global.db“,执行流程图对比如下:

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

③   隐私收集模块“ImgViewer.dll”、电信“桌面3D动态天气”模块以及百度杀毒Web安全组件“WebSafePlugin.dll”,均包含相同的日志库函数代码(下图从左往右依次是病毒模块、中国电信、百度杀毒的文件):

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

三、样本分析

新版插件原有的“天猫淘宝暗刷”功能不再赘述,详情可见我们之前披露的报告 《揭秘“驱魔”家族:全国最大的暗刷僵尸网络上线了》 。此处我们重点对新加入的隐私收集模块“ImgViewer.dll”进行分析,该模块文件直接嵌入在插件的全局变量中,通过新建线程进行反射加载载入内存运行。

该DLL文件中包含3个导出函数,其中主要使用的有两个,一个是EnableData函数,它的作用为控制标记数据上报开关,以决定后续是否上传数据。另一个则是DllEntryPoint函数,主要负责创建一个线程,用来收集QQ号、微信号、窗口名称以及浏览器历史记录。

病毒收集QQ号和微信号的方式可谓十分简单,通过读取软件默认的安装路径下(%APPDATA%\Tencent\QQ\Misc和%TEMP%\WeChat Files)的文件名,即可获得对应的QQ号和微信号:

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

如果检测到电脑上安装了以下的浏览器,则会对使用者的上网记录进行全方位的记录,被窃取记录的浏览器如下:

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

一旦找到对应的浏览器,病毒则会直接定位到相应浏览器的历史记录文件夹,利用ReadDirectoryChangesW监控目录状态是否发生改变,若变化则读取相应历史记录文件的数据,而浏览器的历史记录文件,通常都是一个 SQLite 格式的数据库,没有特殊加密,所以只需要通过相应的 SQL 语句,即可获得访问的网址信息,下图则为读取的历史记录信息:

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

最终,收集完上述的信息后,病毒会按照一定的格式,将数据上传到 http://dama57.com/query.php 页面,部分相关字段的说明如下:

GUID:电脑标识
CK:用于区分上报类型,400为上报微信号、QQ号、当前打开窗口;410为上报当前访问的网址
d0:QQ号
d1:微信号或者窗口名称
d2:网址URL或者窗口名称

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜

该域名的持有者为“泰安大周网络科技有限公司”,相关备案信息如下:

电信、百度客户端源码疑遭泄漏,驱魔家族窃取隐私再起波澜


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Art of Computer Programming, Volume 4,  Fascicle 3

The Art of Computer Programming, Volume 4, Fascicle 3

Donald E. Knuth / Addison-Wesley Professional / 2005-08-05 / USD 19.99

Finally, after a wait of more than thirty-five years, the first part of Volume 4 is at last ready for publication. Check out the boxed set that brings together Volumes 1 - 4A in one elegant case, and ......一起来看看 《The Art of Computer Programming, Volume 4, Fascicle 3》 这本书的介绍吧!

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具